돌핀케이프 악성코드 탐지: 이란 샤헤드-136 드론 사용과 관련된 우크라이나 철도 운송 조직 “Ukrzaliznytsia”에 대한 피싱 캠페인

전 세계 사이버 전쟁이 발병한 이후로 SOC Prime는 러시아의 침략으로부터 우크라이나와 그 동맹국을 방어하는 데 도움을 주기 위해 최전선에 있습니다. 2022년 12월 8일,CERT-UA 연구원들은 우크라이나의 철도 운송 조직 “우크르잘리니차”의 사이버 보안 부서로부터 우크라이나 국가 비상 서비스로 가장한 피싱 이메일의 배포에 대한 정보를 받았습니다. 또한, 해커들은 그들의 악의적 활동을 숨기기 위해 가짜 도메인 이메일을 적용했습니다. 이 사이버 공격에 사용된 피싱 이메일은 이란의 Shahed-136 드론 사용과 관련된 미끼를 적용했습니다.  received information from the cybersecurity department of the state Railway Transport Organization of Ukraine “Ukrzaliznytsia” about the distribution of phishing emails impersonating the State Emergency Service of Ukraine. In addition, hackers applied a fake domain email to masquerade their malicious activity. The phishing emails used in this cyber attack applied a lure related to the use of Iranian Shahed-136 drones. 

DolphinCape 악성코드 설명: 우크라이나 국가 조직에 대한 최신 사이버 공격

최신 CERT-UA#5683 경고 는 우크라이나 철도 운송 조직 “우크르잘리니차”에 대한 새로운 악성 캠페인을 상세히 설명하며, 피싱 이메일 공격 벡터를 활용하고 UAC-0140 해킹 집단에 의해 수행되었습니다. 이 공격에서, 위협 행위자는 이란의 Shahed-136 드론을 식별하는 방법에 대한 정보를 공개하겠다는 미끼로 이메일을 배포했습니다.  

RAR 파일에 포함된 PPSX 문서의 미끼 첨부파일을 열면 감염 체인이 시작됩니다. 이 문서는 악의적인 VBScript 코드를 포함하고 있으며, 스케줄 작업을 생성하고 PowerShell 스크립트를 해독, 생성 및 실행하도록 설계되었습니다. 해커들은 RC4 암호화 알고리즘과 속성 값 “Manager”와 파일 이름의 문자열 연결로 생성된 키를 적용합니다. 악성 PowerShell 스크립트는 Microsoft Windows의 BITS 컴포넌트를 적용하여 DLL 및 EXE 파일을 다운로드하고 DLL 사이드 로딩 기법을 통해 후자를 실행하기 위한 스케줄 작업을 생성합니다.

DLL 파일은 Delphi로 개발된 DolphinCape 악성코드로 식별됩니다. 이 악성 소프트웨어는 호스트 이름, 사용자 이름, OS 버전과 손상된 컴퓨터에서 다른 데이터를 유출하고, EXE 및 DLL 파일을 실행하며, 파일 목록과 업로드를 표시합니다. DolphinCape 악성코드는 또한 대상 컴퓨터에서 스크린샷을 캡처할 수 있는 기능도 가지고 있습니다.

UAC-0140에 의한 DolphinCape 악성코드 캠페인 탐지

여러 피싱 캠페인이 사이버 영역에서 전쟁이 심화됨에 따라 우크라이나의 주요 인프라와 온라인 자산을 계속 타겟으로 삼고 있습니다. 여러 Armagedon APT (UAC-0010)에 의한 대규모 공격 이후, 최신 CERT-UA 경고는 DolphinCape 악성코드를 활용하여 우크라이나의 운송 시스템을 겨냥한 또 다른 캠페인을 밝혀냅니다. 러시아 지원 해커들은 자주 우크라이나 전장에서 악성 도구와 접근 방식을 테스트한 후 전 세계적으로 활동을 확장하기 때문에, 전 세계의 보안 실무자들은 신뢰할 수 있는 탐지 콘텐츠 출처가 필요하며, 이를 통해 적에게 기회를 주지 않고 사전에 대응할 수 있어야 합니다. 

SOC Prime의 Detection as Code 플랫폼은 CERT-UA#5683 경고에 포함된 관련 악의적 활동을 식별하기 위해 큐레이션된 Sigma 규칙 배치를 공격 수명 주기의 초기 단계에서 제공합니다. 탐지를 탐색하려면 탐지 탐색 버튼을 클릭하고 전용 탐지 스택에 액세스하십시오. 모든 Sigma 규칙은 MITRE ATT&CK® 프레임워크 와 일치하며, CTI 링크, 대응 조치, 실행 가능한 바이너리 및 보다 관련성 있는 메타데이터를 포함하여 광범위한 사이버 위협 컨텍스트로 보강되어 있습니다. 탐지 규칙은 업계 선도적인 SIEM, EDR 및 XDR 솔루션으로 변환되었습니다.

탐지를 탐색하십시오

보안 엔지니어는 CERT-UA#5683 경고에 의해 다루어진 DolphinCape 악성코드 배포와 관련된 파일, 호스트 및 네트워크 IOC를 사용하여 위협 검색을 간소화할 수 있습니다. Uncoder.CTI를 활용하여 팀은 성능 최적화된 IOC 쿼리를 즉각적으로 생성하고 선택된 SIEM 또는 XDR 환경에서 관련 위협을 검색할 수 있습니다.

MITRE ATT&CK® 컨텍스트

우크라이나를 대상으로 한 최신 피싱 캠페인에서 UAC-0140 위협 행위자에 의한 DolphinCape 악성코드 배포와 관련된 MITRE ATT&CK 컨텍스트를 탐색하려면 아래 표를 확인하십시오. 모든 전용 Sigma 규칙은 MITRE ATT&CK을 기준으로 적대자의 전술 및 기술에 대응합니다: